funkce eval()

Martin
16. bře 2016 23:25 #126286
Prosím o radu, jak vyčistit soubory od tohoto kódu? Napadeno mnoho souborů. Nechci dělat čistou instalaci. Děkuji.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Martens
16. bře 2016 23:44 #126287
Obávám se, že při takovém množství napadených souborů je jedinou jistotou opravdu jen čistá instalace nebo obnova z nenapadené zálohy. Jinak riskuješ, že tam někde necháš zadní vrátka a za čas budeš stejný problém řešit znova.

A tu novou instalaci pořádně zabezpečit (např. pomocí Akeeba Admin Tools).

Bong tu vždy dával odkaz na návod jak zachránit hacknutou joomlu, ale z hlavy jej nevím. Hledej na www.bongovo.cz .

Odesláno pomocí Tapatalk.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Ernst
17. bře 2016 00:03 - 17. bře 2016 00:05 #126289
ostatně, kde je tato funkce volána a jak se napadení projevuje.

Jsou editory, které umí procházet soubory ve více adresářích a nahrazovat text (např. phpDesigner), ale je otázkou, zda je to ta správná cesta

dobré by bylo zmapovat, kde se ta funkce nachází a co vlastně dělá.
protože normálně je to obecná funkce PHP - php.net/manual/en/function.eval.php

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Martin
17. bře 2016 07:00 #126290
Dneska se na to podívám. V prezentaci se nachází škodlivý kód, který umožňuje útočníkovi spouštět na sdíleném webhostingu libovolné skripty.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Ernst
17. bře 2016 08:59 #126291
funkce eval() umí pustit libovolný script, ale ten v ní musí být napsán.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
17. bře 2016 10:26 #126292

ernst napsal: Jsou editory, které umí procházet soubory ve více adresářích a nahrazovat text (např. phpDesigner), ale je otázkou, zda je to ta správná cesta

To je dnes již k ničemu. Kde jsou ty časy, kdy stačilo dát jednoduše vyhledat eval, a bylo hotovo. Dnes ty napadení různě funkce maskují pomocí sčítání řetězců, base64 enkódování apod.

Pokud nechcete dělat kompletně čistou instalaci (a je to opravdu možná nejlepší) musíte zajistit
1/ opravu napadených souborů - relativně jednoduše - prostě přepsat všechny souboru z posledního instalačního balíčku Joomly. Pozor ale na další rozšíření, ideálně přeinstalovat všechny rozšířní, tak aby si znovu přepsala své soubory

2/ odstranit soubory které jsou navíc - a to je už složitější. Začít můžete kompletním smazaním obsahu cache - tím nic nezkazíte, potom např. ve složce images by neměl být žádný soubor php, tedy pokud máte web rozumně navržen, obsah libraries také bývá oblíbeným cílem útoku - to můžete porovnat s obsahem z instalace (např. total commander na to má skvělý nástroj "Synchronizace složek"), no ale pak Vás čeká ještě obsah šablon - také časté místo útoku a komponent (modulů, pluginů apod). A tam aby jste procházel jednotlivá rozšíření a porovnával s obsahem instalace.

Takže pokud to shrnu, základ je "zálohovat, zálohovat, zálohovat" ideálně rozšířené např. o ty Admin Tools (mají mimochodem skvělou funkci na upozorňování na rozdíly v souborech, takže když už k napadení dojde, strašně rychle zjistíte co bylo napadeno).

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
17. bře 2016 10:26 #126293

ernst napsal: funkce eval() umí pustit libovolný script, ale ten v ní musí být napsán.

Popř. ji lze zakázat v nastavení PHP, některé hostingy to tak mívaly.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Martin
21. bře 2016 10:34 #126333
Zvláštní je, že na zabezpečení webu používám Admin Tools Pro. Navíc v souborech při čisté instalaci je funkce eval již v základu instalace.

Tohle mi napsal provozovatel:

ve Vaší prezentaci se nachází škodlivý kód, který umožňuje útočníkovi spouštět na našem sdíleném webhostingu libovolné skripty. Je tedy naprosto nezbytné danou prezentaci zabezpečit tak, aby k danému jednání nemohlo dojít.
Bohužel očividně nestačí pouze procházet prostor FTP antivirovým programem ale bude pravděpodbně potřeba obrátit se na specialistu, který se danou problematikou zabývá.
Vámi navrhované řešení přesunout webové stránky na vyhrazený server nemá moc význam, jelikož pokud by došlo z daného serveru např. k DOS útoku, tak na základě našich obchodních podmínek server odstavíme z provozu.

Mohu Vám doporučit v prezentaci hledat nestandartní použítí PHP funkce eval(), tím najdete většinu napadených souborů.

Zkoušel jsem i přepsat soubory čistou instalací, což nepomohlo, takže fakt už nevím, jak dál...

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Martens
21. bře 2016 11:18 #126334
Jak moc máš aktualizovanou joomlu? Jak dlouho tam máš Akeebu? Jestli to třeba nesouvisí s prosincovým průšvihem, kdy šly po sobě 3 bezpečnostní aktualizace. A nebo Ti to hackli už v době, kdy tam Akeeba ještě nebyla a měl jsi tam backdoors.

Zkus ještě jednu věc. Pomoci Akeeba Backup si udělej zálohu do ZIP souboru a ten si na lokale rozbal. Mi takhle třeba antivir dokazal najit škodlivý kód i u sql scriptu.

Ale jinak stále bych sazel na jistotu a udělal úplně čistou instalaci. Přepsání nepomůže, protože tam máš i něco mimo Joomlu.

Odesláno pomocí Tapatalk.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
21. bře 2016 13:18 #126336
Antivir už dnes bohužel nenajde zdaleka vše, a hledání funkce eval už také nepomůže. Ano, na několika místech je funkce eval použita i v základu Joomly, sama o sobě to není škodlivá funkce, jen je zneužívána právě útočníky.

Podzimní útoky Admin Tools (pokud byly aktuální a rozumně nastavené) dokázaly zastavit. Spíš bych řekl že napadení už tam mohlo být delší dobu, jen se v poslední době začalo projevovat. Tak se dnes hacky často chovají. Ne že po napadení hned začnou posílat spam, ale klidně si sedí, občas se rozkopírují a aktivní začnou být třeba až po roce, kdy už jsou dostatečně rozmnožené. A nebo napadení nešlo přes web ale přes FTP.

Viděl bych to buď na doporučení hostingu "...obrátit se na specialistu, který se danou problematikou zabývá.", nebo na čistou instalaci a ruční překopírování obsahu (nebo nějakým udělátkem).

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Ernst
21. bře 2016 14:23 - 21. bře 2016 14:25 #126341
udělátko třeba red migrator, nebo již placené, ale naprosto dokonalé - VM Migrator

Tím VM migrator by přetažení veškerého obsahu mělo být za chvilku a bez nutnosti dalších zásahů.

samozřejmě to nepřetáhne všechna rozšíření, ale nějaká ano

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.